Her er grunden til, at dine Apple-enheder er ved at blive meget mere sikre

Mens Apple-enheder er berømte for deres sikkerheds- og privatlivsfunktioner, er de ikke usårlige for hacking eller andre angreb. Heldigvis er Apple-enheder ved at blive meget mere sikre fremover.

Relaterede:

• iOS 13 Forbedringer af privatliv og sikkerhed annonceret på WWDC
• Her er de nye sikkerheds- og privatlivsfunktioner, der kommer til macOS Mojave og iOS 12
• Tips til Mac-sikkerhed og undgå virus

Det er på grund af de seneste ændringer af Apples politik, der blev annonceret på Black Hat-sikkerhedskonferencerne i Las Vegas i denne måned. Ud over det er der også nogle bemærkelsesværdige bedrifter afsløret ved Black Hat og Def Con 2019.

Her er, hvad du bør vide om de seneste Apple-sikkerhedsnyheder.

Apples sikkerhedspolitik ændres

Ivan Krstić, Apples chef for sikkerhedsteknik, kom med et par vigtige meddelelser på dette års Black Hat-konference.

Selvom meddelelserne var rettet mod etiske hackere og sikkerhedsforskere, repræsenterer de store ændringer i Apples sikkerhedspolitikker. Disse kan meget vel resultere i meget mere sikre enheder fremover.

Bug Bounty-program

Den største Apple-relaterede nyhed fra Black Hat-sikkerhedskonferencen i august var en betydelig udvidelse af Apples bug-bounty-program.

Grundlæggende er et bug bounty-program en måde for etiske hackere og sikkerhedsforskere at hjælpe med at styrke eksisterende platforme. Når de for eksempel finder en fejl eller sårbarhed med iOS, rapporterer de denne fejl til Apple - og bliver betalt for det.

Hvad angår ændringerne, udvider Apple bug-bounty-programmet til macOS-enheder fremover. Det øger også den maksimale størrelse af en dusør fra $200.000 pr. udnyttelse til $1 million pr. udnyttelse. Det afhænger selvfølgelig af, hvor alvorligt det er.

Apple introducerede først et iOS bug bounty-program tilbage i 2016. Men indtil denne august var der ikke noget sådant program til macOS (som i sagens natur er mere sårbart over for angreb end Apples mobile operativsystem).

Det skabte berømt problemer, da en tysk hacker oprindeligt nægtede at rapportere detaljerne om en specifik fejl til Apple. Hackeren nævnte manglende udbetaling som årsagen, selvom han til sidst gav Apple detaljerne.

Præ-jailbroken iPhones

Apple vil også levere specialiserede iPhones til undersøgte hackere og sikkerhedsforskere, så de kan forsøge at bryde iOS.

iPhones beskrives som præ-jailbroken, "dev"-enheder, der mangler mange af de sikkerhedsforanstaltninger, der er indbygget i forbrugerversionen af ​​iOS.

Disse specialiserede skulle give penetrationstestere meget mere adgang til de underliggende softwaresystemer. På den måde kan de meget nemmere finde sårbarheder i softwaren.

iPhones vil blive leveret som en del af Apples iOS Security Research Device Program, som det planlægger at lancere næste år.

Det er værd at bemærke, at der er et eksisterende sort marked for de førnævnte "dev" iPhones.

Ifølge en bundkortrapport fra tidligere i år bliver disse pre-release iPhones nogle gange smuglet ud af Apples produktionslinje. Derfra får de ofte en høj pris, før de til sidst når tyve, hackere og sikkerhedsforskere.

Bemærkelsesværdige sårbarheder

Mens ændringerne i sikkerhedspolitikken og hacker-iPhones er de største nyheder fra Black Hat og Def Con, sikkerhedsforskere og white hat hackere afslørede også en række bemærkelsesværdige Apple-relaterede sårbarheder.

Disse er vigtige at bemærke, hvis du bruger en Apple-enhed, og du ønsker at bevare dine databeskyttelse og sikkerhed.

Face ID Bypass

Apple siger, at Face ID er væsentligt mere sikkert end Touch ID. Og i praksis er det faktisk meget sværere at omgå. Men det betyder ikke, at udnyttelser ikke eksisterer.

Forskere fra Tencent fandt ud af, at de var i stand til at narre Face ID's "liveness"-detektionssystem. Grundlæggende er det en foranstaltning beregnet til at skelne mellem ægte eller falske træk på mennesker - og det forhindrer folk i at låse din enhed op med dit ansigt, når du sover.

Forskerne udviklede en proprietær metode, der kan narre systemet blot ved at bruge briller og tape. I det væsentlige kan disse "falske" briller efterligne øjets udseende på en bevidstløs persons ansigt.

Udnyttelsen virker dog kun på bevidstløse mennesker. Men det er bekymrende. Forskerne var i stand til at sætte de falske briller på en sovende person.

Derfra kunne de låse personens enhed op og sende penge til sig selv via en mobil betalingsplatform.

Kontakter App

Apples iOS-operativsystem, som en platform med muret have, er ret modstandsdygtigt over for angreb. Dels skyldes det, at der ikke er nogen nem måde at køre usignerede apps på platformen.

Men sikkerhedsforskere fra Check Point på Def Con 2019 fandt en måde at drage fordel af en fejl i appen Kontakter, der kunne lade hackere køre usigneret kode på din iPhone.

Sårbarheden er faktisk en fejl i SQLite-databaseformatet, som appen Kontakter bruger. (De fleste platforme, fra iOS og macOS til Windows 10 og Google Chrome, bruger faktisk formatet.)

Forskerne fandt ud af, at de var i stand til at køre ondsindet kode på en påvirket iPhone, inklusive et script, der stjal en brugers adgangskoder. De var også i stand til at opnå vedholdenhed, hvilket betyder, at de kunne fortsætte med at køre kode efter en genstart.

Heldigvis er sårbarheden afhængig af installation af en ondsindet database på en ulåst enhed. Så så længe du ikke lader en hacker have fysisk adgang til din ulåste iPhone, burde du være okay.

Ondsindede kabler

Det er længe blevet anbefalet, at du ikke tilslutter tilfældige USB-drev til din computer. Takket være en nylig udvikling bør du nok heller ikke tilslutte tilfældige Lightning-kabler til din computer.

Det er på grund af O.MG-kablet, et specialiseret hackingværktøj udviklet af sikkerhedsforsker MG og viste frem på Def Con i år.

O.MG-kablet ser ud og fungerer præcis som et typisk Apple Lightning-kabel. Den kan oplade din iPhone, og den kan tilslutte din enhed til din Mac eller pc.

Men inden i kablets hus er der faktisk et proprietært implantat, der kunne give en angriber fjernadgang til din computer. Når den er tilsluttet, kan en hacker åbne terminalen og køre ondsindede kommandoer, blandt andre opgaver.

Heldigvis er kablerne i øjeblikket kun håndlavede og koster $200 hver. Det burde mindske risikoen. Men fremover vil du sikkert gerne undgå at tilslutte tilfældige Lightning-kabler i din Mac.